Cloud Composer 1 | Cloud Composer 2
Cloud Composer offre diverse funzionalità di sicurezza e conformità, vantaggiose per le aziende con requisiti di sicurezza più rigidi.
Queste tre sezioni presentano informazioni sulle funzionalità di sicurezza di Cloud Composer:
- Funzionalità di sicurezza di base. Descrive le funzionalità disponibili negli ambienti Cloud Composer per impostazione predefinita.
- Funzionalità di sicurezza avanzate. Descrive le funzionalità che puoi utilizzare per modificare Cloud Composer in base ai tuoi requisiti di sicurezza.
- Conformità agli standard. Fornisce un elenco di standard conformi a Cloud Composer.
Funzionalità di sicurezza di base
Questa sezione elenca le funzionalità relative alla sicurezza fornite per impostazione predefinita per ogni ambiente Cloud Composer.
Crittografia at-rest
Cloud Composer utilizza la crittografia at-rest in Google Cloud.
Cloud Composer archivia i dati in diversi servizi. Ad esempio, il database di metadati Airflow utilizza il database Cloud SQL, mentre i DAG sono archiviati nei bucket Cloud Storage.
Per impostazione predefinita, i dati vengono criptati utilizzando chiavi di crittografia gestite da Google.
Se preferisci, puoi configurare gli ambienti Cloud Composer per la crittografia con chiavi di crittografia gestite dal cliente.
Accesso uniforme a livello di bucket
L'accesso uniforme a livello di bucket ti consente di controllare in modo uniforme l'accesso alle tue risorse Cloud Storage. Questo meccanismo si applica anche al bucket del tuo ambiente, che archivia i DAG e i plug-in.
Autorizzazioni utente
Cloud Composer offre diverse funzionalità per la gestione delle autorizzazioni degli utenti:
Ruoli e autorizzazioni IAM. Gli ambienti Cloud Composer in un progetto Google Cloud sono accessibili solo agli utenti i cui account sono aggiunti a IAM del progetto.
Autorizzazioni e ruoli specifici per Cloud Composer. Puoi assegnare questi ruoli e queste autorizzazioni agli account utente nel tuo progetto. Ogni ruolo definisce i tipi di operazioni che un account utente può eseguire sugli ambienti Cloud Composer nel tuo progetto.
Controllo dell'accesso alla UI di Airflow. Gli utenti del progetto possono avere livelli di accesso diversi nella UI di Airflow. Questo meccanismo è denominato Controllo dell'accesso alla UI di Airflow (Controllo degli accessi basato sui ruoli Airflow o Airflow RBAC).
Condivisione limitata del dominio (DRS). Cloud Composer supporta i criteri dell'organizzazione relativi alla condivisione limitata del dominio. Se utilizzi questo criterio, solo gli utenti dei domini selezionati potranno accedere ai tuoi ambienti.
Modalità IP privato per ambienti Cloud Composer
Puoi creare ambienti Cloud Composer nella configurazione di rete con IP privato.
In modalità IP privato, i nodi del cluster del tuo ambiente non hanno indirizzi IP esterni e non comunicano tramite la rete internet pubblica.
Il cluster del tuo ambiente utilizza Shielded VM
Le VM schermate sono macchine virtuali (VM) su Google Cloud protette da una serie di controlli di sicurezza che contribuiscono alla difesa da rootkit e bootkit.
Gli ambienti Cloud Composer 1 creati sulla base di GKE versioni 1.18 e successive utilizzano VM schermate per eseguire i nodi del cluster di ambiente.
Funzionalità di sicurezza avanzate
Questa sezione elenca le funzionalità avanzate relative alla sicurezza per gli ambienti Cloud Composer.
Chiavi di crittografia gestite dal cliente (CMEK)
Cloud Composer supporta le chiavi di crittografia gestite dal cliente (CMEK). Le CMEK offrono un maggiore controllo sulle chiavi utilizzate per criptare i dati at-rest all'interno di un progetto Google Cloud.
Puoi utilizzare CMEK con Cloud Composer per criptare e decriptare i dati generati da un ambiente Cloud Composer.
Supporto dei Controlli di servizio VPC (VPC SC)
I Controlli di servizio VPC sono un meccanismo per mitigare i rischi di esfiltrazione di dati.
Cloud Composer può essere selezionato come servizio sicuro all'interno di un perimetro Controlli di servizio VPC. Tutte le risorse sottostanti utilizzate da Cloud Composer sono configurate per supportare l'architettura dei Controlli di servizio VPC e per seguire le relative regole. In un perimetro SC VPC è possibile creare solo ambienti IP privato.
Il deployment di ambienti Cloud Composer con Controlli di servizio VPC ti offre:
Rischio ridotto di esfiltrazione di dati.
Protezione contro l'esposizione dei dati dovuta a controlli dell'accesso configurati in modo errato.
Riduzione del rischio che utenti malintenzionati copiano i dati in risorse Google Cloud non autorizzate o utenti malintenzionati esterni che accedono alle risorse Google Cloud da internet.
Livelli di controllo dell'accesso alla rete (ACL) del server web
Il provisioning dei server web Airflow in Cloud Composer viene sempre eseguito con un indirizzo IP accessibile dall'esterno. Puoi controllare da quali indirizzi IP è possibile accedere alla UI di Airflow. Cloud Composer supporta intervalli IPv4 e IPv6.
Puoi configurare le limitazioni di accesso al server web nella console Google Cloud, in gcloud, nell'API e in Terraform.
Secret Manager come spazio di archiviazione per i dati di configurazione sensibili
In Cloud Composer puoi configurare Airflow per utilizzare Secret Manager come backend in cui sono archiviate le variabili di connessione di Airflow.
Gli sviluppatori DAG possono anche leggere dal codice DAG le variabili e la connessione archiviate in Secret Manager.
Conformità agli standard
Consulta le pagine collegate di seguito per verificare la conformità di Cloud Composer ai vari standard:
- Conformità HIPAA
- Access Transparency
- PCI DSS
- ISO/IEC: 27001, 27017, 27018
- SOC: SOC 1, SOC 2, SOC 3
- NIST: NIST800-53, NIST800-171
- DRZ FedRamp Moderate
- Restrizioni relative alla posizione e alla residenza dei dati (guida alla configurazione per Cloud Composer)
Vedi anche
Alcune delle funzionalità di sicurezza menzionate in questo articolo sono discusse nella presentazione di Airflow Summit 2020: Esegui i DAG di Airflow in modo sicuro.